企业IT合规管理需加入更多信息元素

      如今,商业伙伴关系、已知/未知的安全威胁、服务水平协议(SLA)以及业务和技术带来的其他因素等都表明,信息安全和隐私合规项目与内部需求有着紧密的联系。

  在当今这个复杂的世界管理合规最有效的方法是通过整体的规范的方法来积极应对合规问题,而不是把合规当作被动的任务。在信息安全保障领域,IT部门一直专注于运作效率和性能等问题,而信息安全问题却很少被提及,尽管一些早期条例(如联邦教育权利和隐私权等)明确了数据隐私和安全的基准。最早出现的安全和隐私条款的行业包括金融服务和公用事业等领域,这些条款高度管制,但是范围有限。这些条款中往往没有制裁规定,意味着企业不遵守合规条例而无需受到惩罚。

  1996年颁布的医治保险携带和责任法案(HIPAA,Health Insurance Portability and Accountability Act)从此开启了信息安全和隐私合规的时代,这是第一个范围广泛的法规,包含了重要的信息安全和隐私方面的要求。由于HIPAA法案涵盖了很多不同的业务领域,包括IT运维、信息安全、人力资源管理和审计等,该法案让很多企业开始为不同的部门规划合规计划,以实现具体的跨职能合规目标。HIPAA以及新出现的信息管理框架(ISACA的COBIT以及IS017799等)为企业建立更全面的信息安全和隐私合规管理提供了帮助。

  随着信息安全法律法规的不断发展,黄金标准SOX法案(萨班斯法案)应运而生,SOX法案已经成为美国所有上市公司必须遵守的法案,其中既有民事制裁又有刑事制裁来处置非合规行为,这些惩罚适用于C级管理层。

  SOX法案开始实行后,所有公司董事会都开始关注安全合规问题。引起企业高层管理人员的重视后,SOX通过帮助企业制定全面的基于项目的方法来解决安全和隐私合规问题,所有合规相关的合规报告和数据都成为公司成功运作的关键。

  SOX已经成为合规驱动的信息安全保障的未来发展方向的一项重要指标,我们需要制定一个全面的完善的计划来为大多数企业提供解决安全和隐私合规问题的必要能力,但是制定这样的计划不是简单的事情,必须获得整个企业的支持。下面列出的是很多公司都会遇到的常见问题:

  针对性合规心态。有了范围广泛的法案以及制裁措施,短期来看信息安全保障可以很容易的实现:通过集中大量安全和隐私力量在单一的法规条例上即可。这种针对性合规心态的危险在于企业会陷入“核对表格进行合规”的境地,意味着通过降低风险和提高安全性来促进合规。

  将合规作为时间点执行的事件。内部和外部审计能够为企业提供有效的反馈意见和建议,但如果企业只是专注于审计本身,而不重视旨在保护企业的基于风险的决策,那么在非审计期间这些风险带来的威胁会更高。

  仅涉及技术而不涉及业务。IT管理、风险和合规(GRC)的目的在于最大限度地包含业务流程,如果企业抱着“把技术力量全投进去看看会怎样”的心态对待合规问题的话,就失去了信息安全和隐私的真正潜在价值和意义。

  未能获取企业的支持。IT的GRC是一个涉及面很广的项目,需要获取企业各部门的支持,包括IT部门、人力资源和金融部门等。然而,在很多企业,这些部门都不太愿意配合。

  数据和报表不一致问题。 企业只能管理所能控制的范围,而企业只能控制本身可以界定和衡量的范围。数据和报表的不一致可能导致企业不受控制,对企业造成不良影响。

  在处理复杂的各种安全和隐私问题时还要避免这些错误确实不是易事,即便是大型企业。当企业开始制定企业范围内的GRC计划时,避免上文所述的常见错误是很重要的,以下是几条建议:

  全面执行合规。有效地解决信息安全问题需要涉及所有与合规相关的问题,包括法规条例、企业采取的最佳做法和框架、业务合作伙伴协议、内部政策以及已知威胁等。对软件平台的标准化能够为企业管理安全和隐私合规问题创造价值,但是对支持所有合规相关驱动的灵活工具的标准化也是很重要的,而不只是支持选定的规章条例和最佳做法,因为这些都不一定被企业接受。

  建议一个IT GRC计划。一项IT GRC计划是完整的业务过程,需要专职人员以及沟通和管理工具,虽然这些工具能够为合规过程提供帮助,但是它们并不能取代人力以及构成IT GRC基础的流程。合规程序并没有类似“狱吏”的统一软件平台为IT GRC提高信息安全保障的成功率,但是信息安全保障项目能够推动IT GRC软件的运行。

  根据风险制定决策。确定和衡量信息以及其他资产的风险是信息安全保障的核心功能,可以采用不同的方式来确定风险,但一般涉及到(最低限度):资产文件、威胁识别和风险指标等。如果使用多个单点解决方案来管理IT GRC,需要确保这些工具足够支持多种风险定义。

  沟通第一。 IT GRC十亿个业务流程,为确保成功,获取执行层人员的支持尤为关键,因为C级管理人员往往可以清除企业内存在的障碍,通过利用权威来绕过其他可能阻碍计划进行的政治限制等。

  为提供有效沟通交流,IT GRC软件平台应为不同类别的用户(IT运维、安全人员、风险管理人员、审计员和C级管理人员等)提供查看与其相关联的风险与合规数据的能力,同时控制访问权限以保证适当的职责分离。

  建立衡量风险和报表的基准。为IT GRC项目保持通讯框架是至关重要的,同时也要确保公司内部的一致性,IT GRC项目应该使用统一的测量法和指标以确保各部门对风险与合规的意见彼此符合。

  由于信息安全和隐私的法律法规日益复杂,企业应当及时处理新法规的要求,包括业务合作伙伴协议、内部SLA、不断发展的技术和不断出现的威胁等。IT GRC程序可以鉴定合规要求间的重复与模糊性,企业需要建立一个集中的业务流程和工具平台来处理合规问题,并允许利益相关者使用统一的测量法和指标来查明和处理企业的安全和隐私状态。